Geteilte Dateien

Access Control Lists einrichten und anwenden

01.12.2003
Mit dem klassichen Linux-Dateisystem schützen Sie auf einfache Weise Ihre Daten. Wollen Sie aber selektiv den Zugriff für unterschiedliche Personen freigeben, kommen Sie an Access Control Lists nicht vorbei.

Großrechner bieten diese Möglichkeit schon lange: Eine Reihe von Nutzern greifen mit unterschiedlichen Rechten auf einzelne Dateiobjekte zu. Ein Beispiel dafür ist die Implementation RACF für das Betriebsystem z/OS. Diese findet auf Großrechnern von IBM Verwendung, die manch einer vielleicht aus der Werbung kennt: "Wo sind alle unsere Server hin?"

Seit einiger Zeit gibt es Patches für den Linux-Kernel, mit denen Sie einem aktuellen Kernel der Reihe 2.4 diese Fähigkeiten ebenfalls beibringen können. Doch bevor wir mehrere Nutzer auf unsere Dateien loslassen, erstmal ein kleiner Überblick über die klassische Vergabe von Zugriffrechten.

Zugriffsregeln klassisch

Neben dem Zugriffsschutz auf das System selbst, also dem Login mit Passwort, überwacht des Betriebssystem den Zugriff auf die einzelnen Objekte (Dateien, Verzeichnisse und Geräte). Dafür besitzt jedes Objekt und jeder Prozess zwei verschiedene Attribute: einen Eigentümer und eine Gruppe.

Zudem gibt es für jedes Objekt noch Zugriffsrechte, die für den Eigentümer, die Gruppe und alle anderen Benutzer auf dem System separat gesetzt werden. Lassen Sie sich mit ls -l den Inhalt eines Verzeichnisses anzeigen, finden Sie dort die Zugriffsrechte in der ersten Spalte (Kasten 1).

Kasten 1: Zugriffsarten auf Objekte im Linux-System

r read (lesen) Lesen oder Kopieren des Dateiinhalts
w write (schreiben) Schreiben oder Ändern von Dateiinhalten
x execute (ausführen) Das Ausführen von Programmen, die in Dateien enthalten sind

Arbeiten Sie mit einer Datei, prüft Linux jedesmal, wie ein von Ihnen gestartetes Programm zugreifen darf. Wichtig ist dabei, dass die benötigten Zugriffsrechte vorhanden sind. Zusätzlich müssen Sie berücksichtigen, dass der Prozess nicht nur Ihre Nutzer- und Gruppen-ID trägt, sondern zudem Informationen über die effective user ID und die effective group id berücksichtigt werden.

Der "effektive Nutzer" (effective user) leitet sich in der Regel aus Ihrer Benutzer-ID ab, wenn Sie ein Programm starten. Bei der Gruppe verhält es sich genauso. Ruft dieses Programm ein weiteres auf, so erbt dieses wiederum Nutzer und Gruppe vom aufrufenden Prozess. Der effektive Nutzer ist demnach identisch mit dem realen Nutzer.

Der effektive Nutzer ändert sich, wenn beim aufgerufenen Programm das so genannte S-Bit gesetzt hat. In diesem Fall erbt der Prozess nicht Nutzer und Gruppe des Vaterprozesses, sondern erhält den Nutzer, der als Besitzer des Binaries im Dateisystem eingetragen ist. Um dann immer noch herausfinden zu können, wer den Prozess eigentlich gestartet hat, gibt es neben der Effective User ID auch eine Real User ID, die über den wirklichen Prozessbesitzer informiert. Die folgenden Zeilen zeigen ein Beispiel dafür.

root@maus:# cp /bin/sleep /bin/rootsleep
root@maus:# chmod u+s /bin/rootsleep
root@maus:# su volker -c "rootsleep 25" &
root@maus:# /bin/ps -aeo pid,euser,ruser,command|grep fdisk
12887 root     volker   rootsleep 25

Das Dienstprogramm passwd

Ein gutes Beispiel für die Verwendung des S-Bits ist das Programm passwd. In einem Linux-System liegen alle verschlüsselten Passwörter der Nutzer in der Datei /etc/passwd. Aus Sicherheitsgründen ist diese Datei natürlich so geschützt, dass nur der Administrator Schreibrechte auf diese Datei besitzt.

Dennoch muss der Nutzer sein Passwort ändern können. Dies ermöglicht ihm das Programm passwd, bei dem das S-Bit für den Eigentümer gesetzt ist. Manchen Distributoren setzen es auch bei der Gruppe. Ist es gesetzt, erscheint statt dem x ein s, wenn Sie sich eine solche ausführbare Datei mit ls -l ansehen:

volker@maus:~> ls -l /usr/bin/passwd
-rwsr-xr-x    1 root  shadow  27604 Sep 20  2001 /usr/bin/passwd
volker@maus:~> ls -l /etc/passwd
-rw-r--r--    1 root  root     2070 Feb 10  2002 /etc/passwd

Jeder Anwender darf das Programm passwd aufrufen. Zusätzlich ist das S-Bit für den Eigentümer gesetzt. Damit erhält beim Programmstart der Prozess den effektiven Nutzer root. Mit diesem effektiven Nutzer darf nun jeder die Datei /etc/passwd, die ja für den User root schreibbar ist, andern und somit sein Passwort neu setzen. Dabei achtet das Programm passwd darauf, dass der Nutzer dies wirklich nur für seinen eigenes Eintrag in der Datei macht.

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 

Ähnliche Artikel

Kommentare

Infos zur Publikation

LU 05/2015: Daten visualisieren

Digitale Ausgabe: Preis € 4,95
(inkl. 19% MwSt.)

Mit der Zeitschrift LinuxUser sind Sie als Power-User, Shell-Guru oder Administrator im kleinen Unternehmen monatlich auf dem aktuelle Stand in Sachen Linux und Open Source.

Sie sind sich nicht sicher, ob die Themen Ihnen liegen? Im Probeabo erhalten Sie drei Ausgaben zum reduzierten Preis. Einzelhefte, Abonnements sowie digitale Ausgaben erwerben Sie ganz einfach in unserem Online-Shop.

NEU: DIGITALE AUSGABEN FÜR TABLET & SMARTPHONE

HINWEIS ZU PAYPAL: Die Zahlung ist auch ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!       

Tipp der Woche

Grammatikprüfung in LibreOffice nachrüsten
Grammatikprüfung in LibreOffice nachrüsten
Tim Schürmann, 24.04.2015 19:36, 0 Kommentare

LibreOffice kommt zwar mit einer deutschen Rechtschreibprüfung und einem guten Thesaurus, eine Grammatikprüfung fehlt jedoch. In ältere 32-Bit-Versionen ...

Aktuelle Fragen

Admin Probleme mit Q4os
Thomas Weiss, 30.03.2015 20:27, 6 Antworten
Hallo Leute, ich habe zwei Fragen zu Q4os. Die Installation auf meinem Dell Latitude D600 verl...
eeepc 1005HA externer sound Ausgang geht nicht
Dieter Drewanz, 18.03.2015 15:00, 1 Antworten
Hallo LC, nach dem Update () funktioniert unter KDE der externe Soundausgang an der Klinkenbuc...
AceCad DigiMemo A 402
Dr. Ulrich Andree, 15.03.2015 17:38, 2 Antworten
Moin zusammen, ich habe mir den elektronischen Notizblock "AceCad DigiMemo A 402" zugelegt und m...
Start-Job behindert Bootvorgang, Suse 13.2, KDE,
Wimpy *, 20.02.2015 10:32, 4 Antworten
Beim Bootvorgang ist ein Timeout von 1 Min 30 Sec. weil eine Partition sdb1 gesucht und nicht gef...
Konfiguration RAID 1 mit 2 SSDs: Performance?
Markus Mertens, 16.02.2015 10:02, 6 Antworten
Hallo! Ich möchte bei einer Workstation (2x Xeon E5-2687Wv3, 256GB RAM) 2 SATA-SSDs (512GB) al...